Durante la primera mitad de 2025, los infostealers —malware diseñado para robar credenciales y datos sensibles— se consolidaron como una de las amenazas más persistentes en América Latina, especialmente en Brasil, México y Argentina.
Según un análisis de ESET, estas amenazas han evolucionado tanto en volumen como en complejidad, con una creciente variedad de familias y técnicas. Estos programas maliciosos no solo recopilan información privada, sino que actúan como puertas de entrada a ataques más avanzados, como el ransomware.
Entre las familias más detectadas en la región destacan LummaStealer, Amadey, Rozena, Guildma, Formbook y XLoader, cada una con particularidades que explican su éxito entre los ciberdelincuentes.
LummaStealer es el infostealer más detectado, con más de 4.000 casos en 2025. Comercializado bajo el modelo Malware-as-a-Service, su arquitectura modular y distribución por redes sociales, malvertising y spam lo hacen altamente adaptable y difícil de rastrear. En mayo, ESET participó en una operación global para interrumpir su actividad.
Amadey, activo desde 2018, destaca por su doble rol: infostealer y loader de amenazas más graves. Es común en cadenas de infección multi-etapa y se propaga a través de malspam con mensajes falsos sobre multas o facturas.
Rozena combina funciones de robo de datos y backdoor, operando con técnicas file-less y shells inversas. Es distribuido mediante documentos maliciosos de Office y ejecutables falsos, lo que lo vuelve difícil de detectar.
Guildma, troyano bancario de origen brasileño, sigue vigente por su capacidad para manipular sesiones bancarias en tiempo real y adaptarse a las interfaces de entidades locales. Su distribución es masiva por correo con señuelos que simulan notificaciones legales o bancarias.
Formbook y su evolución XLoader son conocidos por su bajo perfil y facilidad de uso. Ambos roban credenciales desde formularios web y clientes de correo, mientras que XLoader amplía su alcance a sistemas macOS y presenta mejoras en persistencia y evasión.
Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica, advierte sobre el escenario regional:
“La actividad de infostealers en América Latina no solo creció en volumen, sino también en diversidad. Algunas familias tienen años de presencia sostenida, otras surgieron recientemente y ganaron protagonismo por su velocidad de evolución o por su integración con otros componentes maliciosos. Desde troyanos bancarios, como Amavaldo o Guildma -con gran actividad en Brasil- hasta RATs
avanzados utilizados en ciberataques de gran calibre como Agent Tesla, se destacan por operar de manera sigilosa, facilitando rápida la monetización de la información robada”.
ESET advierte que la proliferación de estos infostealers —potenciada por su comercialización como servicios— representa una amenaza constante para individuos y organizaciones. Su papel como vectores de ataques más complejos, como el ransomware o el espionaje corporativo, obliga a una respuesta basada en detección proactiva, inteligencia de amenazas y acciones coordinadas.